Tato část popisuje základní zásady prevence ztráty dat (DLP) služby Cloud Web Security a jejich používání k vytvoření pravidel, která zabraňují úniku dat pro podnik zákazníka. Oddíl DLP je zakončen pracovním postupem pro konfiguraci pravidla DLP a ověřením, že pravidlo funguje správně.

Obecné

Funkce prevence ztráty dat (DLP) zabraňuje neúmyslnému nebo úmyslnému úniku citlivých dat na internet, aby byla zajištěna shoda se zákony HIPAA, PCI, GDPR a dalšími zákony na ochranu soukromí. Funkce DLP kontroluje nahrané soubory a text zadávaný do webových stránek na citlivá data pomocí odkazování. Když kontrola DLP zjistí citlivá data, administrátor služby Cloud Web Security může nastavit akci na Přeskočit (Skip), Protokolovat (Log) nebo Blokovat (Block) a zároveň zadá volitelné e-mailové upozornění pro auditora.
Přehled prevence ztráty dat.
Třebaže jsou požadavky na DLP pro každou organizaci odlišné, pracovní postup pro vytváření zásad DLP je stejný.
První část popisuje dvě klíčové části funkce DLP: slovníky (předdefinované a vlastní) a auditory. Druhá část pokrývá proces vytváření a používání pravidla DLP.
Poznámka: Odpovědi na časté otázky týkající se DLP naleznete v tématu Prevence ztráty dat – nejčastější dotazy.

Předpoklady

Pro přístup k funkci prevence ztráty dat (DLP) pomocí služby Cloud Web Security potřebují uživatelé následující:
  1. Podnik zákazníka v produkčním prostřední systému VMware SASE Orchestrator s aktivovanou službou Cloud Web Security. Zařízení Edge i systém Orchestrator musí používat VMware verze 4.5.0 nebo novější.
  2. Zákazník musí mít pro přístup k funkci DLP balíček rozšíření (Advanced) služby Cloud Web Security.
    Důležité: Zákazník se standardním balíčkem (Standard) služby Cloud Web Security nebude mít přístup k DLP a vedle všech možností DLP se v uživatelském rozhraní systému Orchestrator zobrazí uzamčená ikona.

Přehled slovníků DLP

Slovník DLP používá odpovídající výrazy k identifikaci citlivých dat. Například čísla kreditních karet a čísla sociálního zabezpečení mají specifický formát. Také slovníky mohou odpovídat těmto vzorům s cílem zjistit, zda citlivá data jsou nebo nejsou zahrnuta v nahrávaných souborech nebo zadávaném textu.

Předdefinované slovníky

Předdefinované datové slovníky služby Cloud Web Security jsou kombinací párování vzorů, kontrolních součtů, hodnocení kontextu a fuzzy logiky s cílem identifikace citlivých dat. Cloud Web Security obsahuje více než 340 předdefinovaných datových slovníků, které zahrnují následující hlavní kategorie dat:

  • Klasifikace dokumentu
  • Finanční data
  • Zdravotní péče
  • HIPAA
  • Identifikátory položek
  • PCI DSS
  • PII

Dále jsou předdefinované datové slovníky specifické pro danou oblast, aby bylo zajištěno, že je aplikováno správné porovnávání vzorů v daném světovém regionu. Datové slovníky lze nastavit na 29 různých zemí nebo regionů. Z těchto 29 jsou dva rezervovány pro Globální (Global)Jiné (Other). Tyto dvě možnosti umožňují kategorizovat multinárodní data nebo data, která nezapadají do kategorie země nebo oblasti.

Uživatelé mohou prozkoumat slovníky v systému VMware SASE Orchestrator tak, že přejdou to části Webové zabezpečení cloudu (Cloud Web Security) a poté do části Konfigurovat (Configure) > Nastavení zásad (Policy Settings) > DLP (DLP) > Slovníky (Dictionaries)
Konfigurace DLP, Nastavení DLP.

Na této stránce se uživatelům zobrazí všechny slovníky, které jsou k dispozici pro použití v zásadách DLP. Slovníky jsou organizovány do tabulky obsahující názvy, popisy, typy, kategorie a pole s regionem.

  • Název (Name) slouží k identifikaci slovníku, který bude použit v zásadách.
  • Popis (Description) poskytuje vysokou úroveň přehledu slovníku.
  • Typ (Type) rozlišuje dva typy slovníku:
    • Předdefinováno
    • Vlastní
  • Kategorie (Category) zahrnuje:
    • Kanadská zdravotní služba (CHS)
    • Klasifikace dokumentu
    • Finanční data, HIPAA
    • HIPAA / Zdravotní péče
    • Zdravotní péče
    • Identifikátory položek
    • Jiné
    • PCI DSS
    • Informace umožňující osobní identifikaci
    • Národní zdravotní služba Spojeného království (NHS)
  • Region (Region) představuje polohu, na kterou se slovník vztahuje; mezi ně patří:
    • Austrálie
    • Belgie
    • Brazílie
    • Kanada
    • Dánsko
    • Finsko
    • Francie
    • Německo
    • Globální
    • Hongkong
    • Indie
    • Indonésie
    • Irsko
    • Itálie
    • Japonsko
    • Malajsie
    • Nizozemsko
    • New York
    • Nový Zéland
    • Norsko
    • Jiné
    • Polsko
    • Singapur
    • Jihoafrická republika
    • Španělsko
    • Švédsko
    • Spojené království (UK)
    • USA
Konfigurační obrazovka nového slovníku s kritérii shody
  1. Lišta Vyhledávání (Search) se použije u všech polí na stránce slovníků (Dictionaries) a může být použita k rychlému zobrazení specifických slovníků, které uživatelé chtějí prohlížet.
  2. Každý řádek obsahuje slovník, který lze kliknutím dále prozkoumat.
  3. Možnost Počet slovníků na stránku (Dictionaries per Page) dokáže zobrazit až 100 záznamů na jedné stránce.
  4. Tlačítka Navigace na stránce (Page Navigation) slouží k možnosti Přejít zpět nebo Přeskočit vpřed.

Chcete-li pokračovat v tomto zkoumání, najděte slovník Poštovní adresy [Globální] (Postal addresses [Global]) a klikněte na modrý text pro zobrazení obrazovky Upravit slovník (Edit Dictionary).

Upravit slovník, Podrobnosti slovníku
I když pole na této stránce již byla projednána, je zde jedno, které si žádá další vysvětlení. Popis (Description) poskytuje podrobnosti potřebné k informaci o tom, zda je tento slovník vhodný pro vaše zásady. Přesné mechanismy používané k identifikaci dat jsou soukromé a důvěrné. Avšak uživatelé si mohou být jisti, že porovnávání vzorů využívá pokročilé techniky k zajištění přesnosti v mnoha kategoriích a oblastech podpory slovníků.
Poznámka: Metoda používaná s předdefinovanými slovníky spuštění porušení DLP na základě úrovně citlivosti a heuristice modulu DLP se liší od metody používané pro vlastní slovník, která používá specifický počet opakování. Další podrobnosti o této metodě jsou uvedeny v oddíle Vlastní slovník.

Kliknutím na tlačítko Další (Next) v modálním okně se uživatelé přesunou do nastavení Mezní hodnoty (Threshold). Pokud to není nutné, nedoporučujeme upravovat Detaily mezní hodnoty (Threshold Details) od výchozích hodnot.

Konfigurační obrazovka nového slovníku s kritérii shody

Snímek obrazovky výše ukazuje průměrný počet porušení pro nahrání souborů i pro uživatelské vstupy, který je nastaven na hodnotu 10. U předdefinovaných slovníků toto nechápejte jako jednoduchý počet výskytů, ale spíše jako výpočetní hodnocení všech informací nalezených v dokumentu. Tento mechanismus bodování pomáhá snižovat počet falešně pozitivních nálezů zjištěných při použití tohoto datového slovníku. Po zobrazení tohoto modálního okna klikněte na možnost Zrušit (Cancel). Mějte na paměti, že pokud uživatelé provedli změny libovolných hodnot, které lze upravit, budou muset kliknout na tlačítko Aktualizovat (Update), chtějí-li tyto změny zachovat.

Vlastní slovníky

Vlastní slovníky DLP služby Cloud Web Security poskytují uživatelům flexibilitu při vytváření datových slovníků, které se týkají jejich organizace. Stejně jako u předdefinovaných slovníků začínají zákaznické slovníky tím, že uživatelé přidají čtyři pole:

  • Název (Name)
  • Popis (Description)
  • Kategorie (Category)
  • Země/oblast (Country/Region)

Toto jsou stejná čtyři pole zobrazená pro předdefinované slovníky, ale s možností nastavit každou hodnotu na takovou hodnotu, která je relevantní pro slovník, který uživatelé vytváří.

Pro identifikaci dat používají zákaznické slovníky dvě metody:
  • Řetězec (String) se používá pro shodu s přesnou kombinací alfanumerických a speciálních znaků. Tato možnost lze nastavit, aby hledala nebo ignorovala přiřazení písmen.
  • Expression (Výraz) používá regulární výrazy (regex) Perl k nalezení datových vzorů, které je obtížné najít pomocí jednoduchého řetězce.
Na internetu existuje řada zdrojů, kde se dozvíte více o regulárních výrazech. Jeden z takových zdrojů je https://perldoc.perl.org/perlre. Zde uživatelé mohou najít více příkladů různých syntaxí odpovídajících vzorů pro regulární výrazy (regexy).

Pro vytvoření vlastního slovníku klikněte na tlačítko Nový slovník (New Dictionary) na stránce Konfigurovat (Configure) > Nastavení zásad (Policy Settings) > DLP (DLP) > Slovníky (Dictionaries).

Obrazovka Podrobnosti slovníku (Dictionary Details) vyzve uživatele k zadání hodnot pro možnosti Název (Name), Popis (Description), Kategorie (Category)Země/oblast (Country/Region).

Konfigurační obrazovka nového slovníku s podrobnostmi slovníku.

Snímek obrazovky výše ukazuje, že tento slovník je určen k identifikaci citlivých IP adres a je pouze pro interní použití. Výběr možnosti Jiné (Other) pro kategorii i zemi/oblast ukazuje, že data odpovídající tomuto slovníku buď nezapadají do jedné z již existujících kategorií, nebo nejsou nutná dodatečná metadata.

Konfigurační obrazovka nového slovníku s kritérii shody

Pro obrazovku Najít shodu dat (Match Data) je konfigurace příkladu založená na rozsazích IP adres 192.0.2.0/24, 198.151.100.0/24 a 203.0.133.0/24 (RFC 5737). Jde o citlivá data, která musí společnost chránit. Regex používaný při hledání všech IP adres v těchto rozsazích je: (192\.0\.2\.*|198\.51\.100\..*|203\.0\.113\..*)

Regex se přečte jako „Spárovat řetězec, pokud obsahuje 192.0.2. NEBO 198.51.100. NEBO 203.0.113.“ A  Opakovaná (Repeated) hodnota je nastavena na 1, což znamená, že detekce tohoto vzoru jednou nebo vícekrát spustí slovník.
Poznámka: Zatímco vlastní slovník používá specifický počet opakování pro aktivaci porušení DLP, u předdefinovaného slovníku je mezní hodnota pro spuštění porušení DLP založena na úrovni citlivosti a heuristice modulu DLP.

Regex není přerušen napříč několika řádků; pomocí Ikony plus (Plus Icon) přidáte další řádek, protože logika slovníku napříč více řádky je logické A (AND). Pokud byla Kritéria shody (Match Criteria) definována tímto způsobem, slovník se spustí pouze v případě, že jsou v dokumentu všechny tři rozsahy IP adres.

Nová kritéria shody slovníku při přidávání dalších pravidel shody

Po nakonfigurování nastavení vlastního slovníku, klepněte na tlačítko Dokončit (Finish) a zpřístupněte slovník pro použití ve službě Cloud Web Security.

Auditoři

Auditor je někdo v organizaci pověřený sledováním jakýchkoliv incidentů, které se týkají jakéhokoliv pokusu o exfiltraci dat, ať už úmyslného nebo náhodného. Tato osoba může být upozorněna e-mailem ze systému Orchestrator, že došlo k porušení pravidla DLP. E-mail zaslaný auditorovi obsahuje název pravidla DLP, vstup uživatele nebo název souboru, který obsahuje citlivá data, cíl, do kterého se uživatel pokoušel data odeslat, a uživatelské jméno osoby, která se snažila data odkrýt. Volitelně mohou být vstup uživatele nebo soubor odeslány auditorovi v původním formátu jako soubor ZIP nebo jako šifrovaný soubor ZIP.

Uživatelé mohou přidávat, upravovat, odstraňovat a zobrazovat auditory po přihlášení ke službě Cloud Web Security v nabídce:

Konfigurace (Configure) > Nastavení zásad (Policy Settings) > DLP (DLP) > Auditoři (Auditors)

Nastavení DLP, konfigurační obrazovka auditorů.

Na obrazovce Auditoři (Auditors) uživatelé vidí, že v systému momentálně nejsou žádní auditoři. Chcete-li přidat prvního auditora, vyberte možnost + NOVÝ PROFIL AUDITORA (+ NEW AUDITOR PROFILE). Vyskakovací okno vyzve uživatele k zadání následujících informací:

  • Jméno (Name) (povinné) je jméno auditora.
  • E-mailová adresa (Email Address) (povinná) je platná e-mailová adresa pro jednotlivce.
  • Popis (Description) (volitelný) jsou jakékoliv relevantní informace o auditorovi, které chtějí uživatelé poskytnout. Například „Auditor PCI“ (PCI Auditor), pokud je hlavní funkcí auditora monitorovat případné porušení PCI.
Nový profil auditora SLP, konfigurační obrazovka informací o profilu auditora.

Na další stránce se zobrazí požadavek na Podrobnosti o souboru (File Details). Tato stránka je zcela volitelná, ale poskytuje uživatelům možnost odeslat kontrolnímu auditorovi DLP soubor k revizi. Možnosti konfigurace zahrnují:

  • Odeslat soubor auditorům (Send File to the Auditors), přičemž výchozí chování je neposílat soubor auditorovi/auditorům.
  • Formát souboru (File Format) se stane dostupným, když uživatelé zvolí možnost Odeslat soubor auditorovi/auditorům (Send File to the Auditors). Uživatelé mají možnost zvolit původní soubor (Original File), ZIP (Zip) nebo šifrovaný soubor (Encrypted Zip). Jelikož bude tento soubor obsahovat citlivé informace, doporučujeme použít možnost šifrovaný soubor ZIP (Encrypted Zip).
    • Maximální velikost souboru (Maximum File Size) je maximální velikost přílohy obsažené v e-mailu odeslaném systémem. Limit lze nastavit až do 1 GB, ale doporučujeme přizpůsobit omezení velikosti e-mailových souborů jejich organizace.
      Důležité: Pokud velikost souboru přesahuje hodnotu Maximální velikost souboru (Maximum File Size), je tento soubor obejit. Jinými slovy, soubor není připojen k výstraze narušení DLP a výstraha je odeslána bez souboru.
    • Šifrované heslo komprimovaného souboru (Encrypted Zip Password) je automaticky generováno systémem a v případě ohrožení může být znovu vygenerováno. Uživatelé mohou v případě potřeby také konfigurovat své vlastní heslo.
Nový profil DLP auditora, konfigurační obrazovka Podrobnosti o souboru.

Kliknutím na tlačítko Dokončit (Finish) uložíte nový profil DLP auditora. Položka Auditor se zobrazí na stránce Auditor nastavení DLP (DLP Settings Auditor). Uživatelé mohou volitelně zobrazit, upravit nebo odstranit položku Auditor (Auditor).

Pracovní konfigurační postup DLP

Tato sekce se zabývá dvěma klíčovými komponentami, které tvoří prevenci ztráty dat (DLP), a pokrývá celkový pracovní postup DLP.

Vytváření, konfigurace a použití zásad zabezpečení

Pravidlo DLP je součástí Zásad zabezpečení (Security Policy), a proto musí před konfigurací pravidla DLP existovat nejprve Zásady zabezpečení. Pro další informace o vytváření, konfiguraci nebo použití zásad zabezpečení pro službu Cloud Web Security si prostudujte relevantní dokumentaci v Průvodci konfigurací služby Cloud Web Security.

Vytvoření a použití pravidla DLP

Chcete-li vytvořit a použít pravidlo DLP, nahlédněte do tématu Konfigurace pravidel prevence ztráty dat.

Ověření funkčnosti pravidla DLP

Existují tři kritéria, která společně potvrzují, že je pravidlo DLP správně nakonfigurováno a funguje podle očekávání:
  • Cloud Web Security blokuje následnou filtraci citlivých dat, která odpovídají pravidlu DLP.
  • Cloud Web Security detekuje a protokoluje pokus o následnou filtraci citlivých dat.
  • Cloud Web Security odešle auditorovi DLP e-mailovou výstrahu při spuštění pravidla.
Chcete-li ověřit účinnost pravidla DLP, proveďte následující:
  1. Z koncového zařízení (Windows, MacOS, iOS nebo Android), které leží za zařízením SD-WAN Edge, se přihlaste ke službě hostování souborů (například Apple iCloud, Dropbox, Google Drive, Microsoft OneDrive nebo podobné).
  2. Pokud pravidlo obsahuje vlastní slovník, nahrajte zadaný text, textový soubor nebo soubor ve formátu PDF, který odpovídá kritériím nastaveným v pravidle DLP.
    Poznámka: Textový vstup je jako příspěvek nebo textová zpráva. Textový soubor je souborem .txt, který je připojen k nahrání.
  3. Alternativně můžete použít kterýkoliv z předdefinovaných slovníků a jejich příslušné prahové hodnoty pro osobní údaje, čísla sociálního zabezpečení, čísla bankovních účtů nebo podobné údaje.
    Poznámka: Pomocí předdefinovaných slovníků je mezní hodnota pro spuštění porušení DLP založena na kombinaci úrovně citlivosti a heuristiky modulu DLP. To je rozdíl oproti vlastnímu slovníku, který používá specifický počet opakování.
  4. Textový soubor/vstup nebo nahrání souboru je zablokováno.
  5. V protokolech DLP ověřte, že byla akce blokování zaznamenána.
    1. Následuje vzorový protokol pro blok textového vstupu v testu DLP, který se shoduje s vlastním slovníkem, který pravidlo DLP používá.
      Snímek obrazovky, který zobrazuje záznam protokolu pro porušení pravidla pomocí vlastního slovníku.
    2. Následuje vzorový protokol pro soubor PDF blokovaný ve službě Dropbox pro shodu čísla sociálního zabezpečení z předdefinovaného slovníku.
      Snímek obrazovky porušení pravidla pro soubor ve formátu PDF se sociálním číslem, které odpovídá předdefinovanému slovníku.
  6. Ověřte, že auditor DLP obdržel výstražný e-mail na základě pravidla DLP a akce nakonfigurované pro toto pravidlo.
    1. Následuje vzorový e-mail pro blok textového vstupu v testu DLP pro vlastní slovník, který pravidlo DLP používá.
      Ukázkový e-mail, kde je pro vlastní slovník blokován blok textového vstupu.
    2. Následuje vzorový e-mail pro soubor PDF blokovaný ve službě Dropbox pro shodu čísla sociálního zabezpečení z předdefinovaného slovníku.
      Poznámka: Netextové soubory se mohou objevit s názvem souboru „Neznámý“ (Unknown). V důsledku toho se přiložený soubor v e-mailu auditora zobrazí také jako „Neznámý“ (Unknown).
      Vzorový e-mail, ve kterém je ve službě Dropbox blokován soubor PDF. Mějte na paměti, že název souboru u souborů, které nejsou textové, může být „Neznámý“ (Unknown).